13.11. 系统事件的审计

维护所有审计事件记录可帮助您建立系统基线、执行故障排除或分析导致特定结果的事件序列。审计系统可以记录许多类型的事件，如系统时间更改、更改为 Mandatory/Discretionary Access Control，以及创建/删除用户或组。

可以使用环境文件来创建规则，然后由 director 注入 /etc/audit/audit.rules。例如：

    resource_registry:
      OS::TripleO::Services::AuditD: /usr/share/openstack-tripleo-heat-templates/deployment/auditd/auditd-baremetal-puppet.yaml
    parameter_defaults:
      AuditdRules:
        'Record Events that Modify User/Group Information':
          content: '-w /etc/group -p wa -k audit_rules_usergroup_modification'
          order  : 1
        'Collects System Administrator Actions':
          content: '-w /etc/sudoers -p wa -k actions'
          order  : 2
        'Record Events that Modify the Systems Mandatory Access Controls':
          content: '-w /etc/selinux/ -p wa -k MAC-policy'
          order  : 3